Управление доступом для внешних пользователей в управлении правами

Управление правами использует Microsoft Entra business-to-business (B2B) для совместного доступа, чтобы вы могли совместно работать с людьми за пределами вашей организации. При использовании Microsoft Entra B2B внешние пользователи проходят проверку подлинности в своем домашнем каталоге, но имеют представление в каталоге. Представление в каталоге позволяет назначать пользователю доступ к ресурсам.

В этой статье описываются параметры, которые можно использовать для управления доступом внешних пользователей.

Преимущества управления правами

При использовании интерфейса приглашения Microsoft Entra B2B необходимо уже знать адреса электронной почты внешних гостевых пользователей, с которыми вы хотите войти в каталог ресурсов и работать с ним. Приглашать каждого пользователя напрямую удобно, если вы работаете над небольшим или краткосрочным проектом и уже знаете всех участников. Однако этим процессом сложнее управлять, если вы работаете со множеством пользователей или состав участников со временем меняется. Например, ваша компания может сотрудничать с другой организацией через одно контактное лицо, но со временем доступ может потребоваться и другим пользователям из этой организации.

Благодаря управлению правами вы можете определить политику, которая разрешает пользователям из указанных организаций самостоятельно запрашивать пакет для доступа. Эта политика включает сведения о том, нужны ли утверждения и проверки доступа, а также дату окончания срока, на который предоставляется доступ. В большинстве случаев требуется утверждение, чтобы иметь соответствующий надзор над тем, какие пользователи будут доставлены в каталог. Если требуется утверждение, то для крупных внешних партнеров организации может потребоваться пригласить одного или нескольких пользователей из внешней организации в каталог, назначить их в качестве спонсоров и настроить, что спонсоры являются утверждающими, так как они, скорее всего, знают, какие внешние пользователи из своей организации нуждаются в доступе. После настройки пакета доступа получите ссылку на запрос пакета доступа, чтобы вы могли отправить эту ссылку контактному лицу (спонсору) во внешней организации. Это контактное лицо может предоставлять доступ другим пользователям в своей организации, а также использовать ссылку, чтобы запрашивать пакет для доступа. Пользователи из этой организации, уже приглашенные в каталог, также могут использовать эту ссылку.

Вы также можете использовать управление правами для привлечения пользователей из организаций, у которых нет собственного каталога Microsoft Entra. Вы можете настроить федеративный поставщик удостоверений для своего домена или использовать проверку подлинности на основе электронной почты. Вы также можете принести пользователей из поставщиков удостоверений социальных сетей, включая пользователей с учетными записями Майкрософт.

Как правило, при утверждении запроса управление правами подготавливает пользователя к необходимому доступу. Если каталог еще не доступен пользователю, для начала система управления правами пригласит его. При приглашении пользователя идентификатор Microsoft Entra автоматически создаст для них гостевую учетную запись B2B, но не отправит пользователю сообщение электронной почты. Администратор может ранее ограничить, какие организации разрешены для совместной работы, задав список разрешений или блокировок B2B, чтобы разрешить или заблокировать приглашения в домены других организаций. Если домен пользователя не разрешен этими списками, пользователь не получит приглашение, и ему не может быть назначен доступ до тех пор, пока списки не будут обновлены.

Так как вы не хотите, чтобы доступ внешнего пользователя длиться вечно, вы указываете дату окончания срока действия в политике, например 180 дней. После 180 дней, если доступ не расширен, управление правами будет удалять все доступы, связанные с этим пакетом доступа. По умолчанию, если пользователь, приглашенный через управление правами, не имеет других назначений пакетов доступа, то при потере последнего назначения их гостевая учетная запись заблокирована для входа в течение 30 дней и более поздних версий. Это предотвращает накопление ненужных учетных записей. Как рассказывается в следующих разделах, эти параметры можно настраивать.

Принцип работы доступа для внешних пользователей

Приведенные ниже схема и инструкции помогут вам получить представление о том, как внешние пользователи получают права на пакет для доступа.

1. Вы добавляете подключенную организацию для каталога Microsoft Entra или домена, с которым вы хотите сотрудничать. Вы также можете настроить подключенную организацию для поставщика удостоверений социальных сетей.

2. Вы проверка параметр каталога включено для внешних пользователей в каталоге, чтобы содержать пакет доступа " Да".

3. Вы создаете пакет доступа в каталоге, который включает политику для пользователей, не входящих в каталог , и указывает подключенные организации, которые могут запрашивать, утверждающий и параметры жизненного цикла. Если выбрать в политике параметр определенных подключенных организаций или вариант всех подключенных организаций, то только пользователи из тех организаций, которые ранее были настроены, могут запрашивать. Если выбрать в политике параметр всех пользователей, любой пользователь может запросить, включая те, которые еще не являются частью каталога, а не частью любой подключенной организации.

4. Вы проверка скрытый параметр пакета доступа, чтобы убедиться, что пакет доступа скрыт. Если он не скрыт, любой пользователь, разрешенный параметрами политики в этом пакете доступа, может найти пакет доступа на портале My Access для вашего клиента.

5. Вы отправляете контактному лицу из внешней организации ссылку на портал “Мой доступ”, которую этот представитель может передать своим пользователям, чтобы те запрашивали пакет для доступа.

6. Внешний пользователь (в этом примере — Запрашивающий А) использует ссылку на портал “Мой доступ”, чтобы запросить доступ к пакету для доступа. Портал "Мой доступ" требует, чтобы пользователь войдите в систему в рамках подключенной организации. Способ входа пользователя зависит от типа проверки подлинности в каталоге или на домене, определенного в подключенной организации и параметрах внешних пользователей.

7. Утверждающий утверждает запрос (если политика требует утверждения).

8. Запрос переходит в состояние доставки.

9. В ходе процесса приглашения B2B в каталоге создается гостевая учетная запись (в этом примере — Запрашивающий А (гость)). Если определен список разрешений или блок-список, применяется параметр списка.

10. Гостевому пользователю предоставляется доступ ко всем ресурсом, входящим в пакет для доступа. Для внесения изменений в идентификатор Microsoft Entra и других веб-служб Майкрософт или подключенных приложений SaaS может потребоваться некоторое время. Дополнительные сведения см. в разделе Когда применяются изменения.

11. Внешний пользователь получает электронное письмо о том, что ему предоставлен доступ.

12. Чтобы получить доступ к ресурсам, внешний пользователь может выбрать ссылку в сообщении электронной почты или попытаться получить доступ к любому из ресурсов каталога непосредственно для завершения процесса приглашения.

13. Если в параметрах политики указана дата окончания срока действия, то по истечении этого срока в назначении пакета для доступа права внешнего пользователя в отношении этого пакета удаляются.

14. В зависимости от жизненного цикла параметров внешних пользователей, когда внешний пользователь больше не имеет назначений пакетов доступа, внешний пользователь будет заблокирован для входа, а внешняя учетная запись пользователя будет удалена из каталога.

Параметры для внешних пользователей

Чтобы гарантировать, что пользователи за пределами организации могут запрашивать пакеты для доступа и получать доступ к ресурсам из этих пакетов, необходимо проверить правильность настройки некоторых параметров.

Включение каталога для внешних пользователей

• По умолчанию при создании нового каталога она включена, чтобы разрешить внешним пользователям запрашивать пакеты доступа в каталоге. Убедитесь, что для параметра Включен для внешних пользователей задано значение Да.

  

  Если вы являетесь администратором или владельцем каталога, вы можете просмотреть список каталогов, включенных для внешних пользователей в списке каталогов Центра администрирования Microsoft Entra, изменив параметр фильтра для включения для внешних пользователей на "Да". Если любой из этих каталогов, отображаемых в этом отфильтрованном представлении, имеет ненулевое количество пакетов доступа, эти пакеты доступа могут иметь политику для пользователей, не входящих в каталог , которые позволяют внешним пользователям запрашивать.

Настройка параметров внешней совместной работы Microsoft Entra B2B

• Если гостям разрешено приглашать в каталог других гостей, то приглашения могут отправляться вне области действия управления правами. Рекомендуем задать для параметра Гости могут приглашать других пользователей значение Нет, чтобы разрешить только надлежащим образом контролируемые приглашения.

• Если вы ранее использовали список разрешений B2B, необходимо удалить этот список или убедиться, что все домены всех организаций, с которыми вы хотите сотрудничать с использованием управления правами, добавляются в список. Кроме того, если вы используете список блокировок B2B, необходимо убедиться, что в этом списке нет домена какой-либо организации, с которой вы хотите сотрудничать.

• Если была создана политика управления правами для всех пользователей (всех подключенных организаций и новых внешних пользователей) и пользователь не относится к подключенной организации в каталоге, то после отправки запроса на получение пакета для него будет автоматически создана подключенная организация. Однако все параметры разрешения или блокировки B2B, которые у вас есть, имеют приоритет. Поэтому необходимо удалить список разрешений, если вы использовали его, чтобы все пользователи могли запрашивать доступ и исключать все авторизованные домены из списка блокировок, если вы используете блок-список.

• Если вам нужно создать политику управления правами, которая включает всех пользователей (все подключенные организации и новых внешних пользователей), необходимо сначала включить для каталога проверку подлинности с отправкой одноразового секретного кода по электронной почте. Дополнительные сведения см. в статье Проверка подлинности с отправкой одноразового секретного кода по электронной почте.

• Дополнительные сведения о параметрах внешней совместной работы Microsoft Entra B2B см. в разделе "Настройка параметров внешней совместной работы".

  

  Примечание.

  Если вы создаете подключенную организацию для клиента Microsoft Entra из другого облака Майкрософт, необходимо также настроить параметры доступа между клиентами соответствующим образом. Дополнительные сведения о настройке этих параметров см. в разделе Настройка параметров доступа на различных арендаторах.

Проверка политик условного доступа

• Не забудьте исключить приложение "Управление правами" из любых политик условного доступа, влияющих на гостевых пользователей. В противном случае политика условного доступа может заблокировать доступ к MyAccess или войти в каталог. Например, с большой вероятностью у гостя нет зарегистрированного устройства, он не находится в известном расположении и не хочет повторно регистрироваться для многофакторной проверки подлинности (MFA), поэтому при наличии этих требований в политике условного доступа гости не смогут использовать управление правами. Дополнительные сведения см. в разделе "Что такое условия в условном доступе Microsoft Entra?".

• Распространенная политика для клиентов управления правами — блокировать все приложения от гостей, кроме управления правами для гостей. Эта политика позволяет гостям ввести мой доступ и запросить пакет доступа. Этот пакет должен содержать группу (это называется "Гости из my Access" в следующем примере), которая должна быть исключена из блокировки всех политик приложений. После утверждения пакета гость находится в каталоге. Учитывая, что конечный пользователь имеет назначение пакета доступа и является частью группы, конечный пользователь может получить доступ ко всем другим приложениям. Другие распространенные политики включают исключение приложения управления правами из MFA и соответствующего устройства.

  

  

  

Примечание.

Приложение "Управление правами" включает в себя часть управления правами MyAccess, сторону управления правами в Центре администрирования Microsoft Entra и часть управления правами в графе MS. Последние два требуют дополнительных разрешений для доступа, поэтому гости не будут обращаться к ним, если не предоставлено явное разрешение.

Проверка параметров внешнего доступа в SharePoint Online

• Если вы хотите включить сайты SharePoint Online в пакеты доступа для внешних пользователей, убедитесь, что для параметра внешнего общего доступа уровня организации задано значение "Любой пользователь " (пользователи не требуют входа) или новые и существующие гости (гости должны войти или предоставить код проверки). Дополнительные сведения см. в разделе о включении и отключении внешнего доступа.

• Чтобы ограничить внешний доступ за пределами системы управления правами, можно задать для параметра внешнего доступа значение Существующие гости. Затем только новые пользователи, приглашенные через управление правами, могут получить доступ к этим сайтам. Дополнительные сведения см. в разделе о включении и отключении внешнего доступа.

• Убедитесь, что в параметрах на уровне сайта включен гостевой доступ (настройте параметры так же, как указано выше). Дополнительные сведения см. в статье Изменение параметров общего доступа для сайта.

Проверка параметров группового доступа в Microsoft 365

• Если вам нужно включить группы Microsoft 365 в пакеты для доступа внешних пользователей, убедитесь, что для параметра Разрешить пользователям добавлять гостей в организацию задано значение Включено, чтобы разрешить гостевой доступ. Дополнительные сведения см. в разделе Управление гостевым доступом к группам Microsoft 365.

• Если вам нужно, чтобы внешние пользователи могли получить доступ к сайту SharePoint Online и ресурсам, связанным с группой Microsoft 365, убедитесь, что в SharePoint Online включен внешний доступ. Дополнительные сведения см. в разделе о включении и отключении внешнего доступа.

• Сведения о том, как настроить политику гостевого доступа для групп Microsoft 365 на уровне каталога с помощью PowerShell, см. в разделе Пример. Настройка гостевой политики для групп на уровне каталога.

Проверка параметров общего доступа в Teams

• Если вы хотите включить Teams в пакеты для доступа внешних пользователей, убедитесь, что для параметра Разрешить гостевой доступ в Microsoft Teams задано значение Включено, чтобы разрешить гостевой доступ. Дополнительные сведения см. в разделе Настройка гостевого доступа в Центре администрирования Microsoft Teams.

Управление жизненным циклом внешних пользователей

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Вы можете выбрать, что происходит, когда у внешнего пользователя, приглашенного в каталог при помощи запроса на получение пакета для доступа, не остается назначенных пакетов для доступа. Такая ситуация может возникнуть, если пользователь освобождает все назначения пакетов для доступа либо истекает срок последнего назначения пакета для доступа. По умолчанию, когда внешний пользователь больше не имеет назначений пакетов доступа, они заблокированы для входа в каталог. Через 30 дней учетная запись гостевого пользователя удаляется из вашей директории. Вы также можете настроить, что внешний пользователь не заблокирован при входе или удалении, или что внешний пользователь не блокирует вход, но удаляется (предварительная версия).

Роль необходимых компонентов: глобальный Администратор istrator или управление удостоверениями Администратор istrator

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator для управления удостоверениями.

2. Перейдите к управлению правами управления правами управления>удостоверениями> Параметры.

3. Выберите Изменить.

   

4. В разделе Управление жизненным циклом внешних пользователей выберите различные параметры для внешних пользователей.

5. Если вы хотите блокировать вход в этот каталог, когда внешний пользователь теряет последний назначенный ему пакет для доступа, задайте для параметра Блокировать для внешнего пользователя вход в этот каталог значение Да.

   Примечание.

   Управление правами блокирует вход только внешних гостевых учетных записей пользователей, которые были приглашены с помощью управления правами или которые были добавлены в управление правами для управления жизненным циклом путем преобразования учетной записи гостевого пользователя в управляемый. Кроме того, обратите внимание, что пользователь будет заблокирован для входа, даже если этот пользователь был добавлен в ресурсы в этом каталоге, которые не имели доступа к назначениям пакетов. Если пользователю запрещено входить в каталог, он не сможет снова запросить пакет для доступа или дополнительные права доступа в этом каталоге. Не настраивайте блокировку входа, если впоследствии им потребуется запросить доступ к этим или другим пакетам доступа.

6. Если вы хотите удалять гостевую учетную запись внешнего пользователя, когда он теряет последний назначенный ему пакет для доступа в этом каталоге, задайте для параметра Удалить внешнего пользователя значение Да.

   Примечание.

   Управление правами удаляет только внешние учетные записи гостевых пользователей, которые были приглашены с помощью управления правами или которые были добавлены в управление правами для управления жизненным циклом путем преобразования учетной записи гостевого пользователя в управляемый. Кроме того, обратите внимание, что пользователь будет удален из этого каталога, даже если этот пользователь был добавлен в ресурсы в этом каталоге, которые не имели доступа к назначениям пакетов. Если гостевая учетная запись присутствовала в этом каталоге, прежде чем получать доступ к назначениям пакета, она там и останется. Однако если гостевая виртуальная машина была приглашена с помощью назначения пакета Access, а после приглашения была назначена на сайт OneDrive для бизнеса или SharePoint Online, она все равно будет удалена. Изменение параметра "Удалить внешнего пользователя" на "Нет только" влияет на пользователей, которые впоследствии теряют свое последнее назначение пакета доступа; пользователи, которые были запланированы на удаление и заблокированы при входе, по-прежнему будут удалены в исходном расписании.

7. Если вы хотите удалить учетную запись гостевого пользователя в этом каталоге, можно задать количество дней до его удаления. При истечении срока действия пакета доступа внешний пользователь не получает уведомления об удалении учетной записи. Если вы хотите удалить учетную запись гостя, как только она потеряет свое последнее назначение пакетам доступа, задайте для числа дней перед удалением внешнего пользователя из этого каталога значение 0. Изменения этого значения влияют только на пользователей, которые впоследствии используют назначение пакета последнего доступа; Пользователи, которые были запланированы на удаление, по-прежнему будут удалены в исходном расписании.

8. Выберите Сохранить.

Следующие шаги

• Добавление подключенной организации
• для пользователей вне вашего каталога,
• Устранение неполадок